Текст учебников-5. Слайд 1 Титульный лист Слайд 2 Содержание Слайд 3
Скачать 3.2 Mb.
|
Слайд 35 Задачи системы защиты и безопасности экономической информации В зависимости от условий функционирования систем неизбежно возникают дестабилизирующие факторы. К ним можно отнести недостаточность элементов системы; отказы, сбои, ошибки; стихийные бедствия; злоумышленные действия; побочные явления. Количественная недостаточность – это физическая нехватка одного или нескольких компонентов автоматизированных информационных систем для обеспечения требуемой защищенности информации по рассматриваемым показателям. Качественная недостаточность – это несовершенство конструкции или организации одного или нескольких компонентов автоматизированных информационных систем, в силу чего не обеспечивается требуемая защищенность информации. Отказ – это нарушение работоспособности определённого элемента системы, которое приводит к невозможности выполнения им своих функций. Сбой – это временное нарушение работоспособности определённого элемента системы, следствием чего может быть неправильное выполнение им в этот момент своих функций. Ошибка – это неправильное выполнение элементом системы одной или нескольких функций, происходящее вследствие его специфического состояния. Стихийное бедствие – это спонтанно возникающее неконтролируемое явление, проявляющееся как разрушительная сила. Злоумышленные действия – это действия людей, направленные специально на нарушение защищенности информации. Побочное явление – это явление, сопутствующее выполнению элементом своих основных функций, следствием которого может быть нарушение защищенности информации. Система защиты информации дает возможность защитить информацию от нежелательного ее разглашения. Проектирование системы защиты включает в себя разработку ее модели, перенесение полученных результатов на определённую структуру программных средств, системы управления базами данных или на автоматизированную систему в целом. При разработке комплексных мер по защите информации необходимо использовать методы системного подхода, так как стоимость всех мер безопасности экономической информации не должна превышать размера возможного ущерба. При разработке системы защиты необходимо сконцентрировать основное внимание на наиболее важных аспектах проблемы защиты информации, отбрасывая из рассмотрения технические детали системы. При этом, как правило, выделяют шесть самостоятельных компонентов. Первый компонент – это область физической безопасности, к средствам которой относят замки, охрану. Второй компонент – это безопасность персонала. Здесь рассматривается защита сотрудников и защита от воздействия самих сотрудников; речь при этом идёт о шпионаже, воздействии криминальных структур. Третий компонент – это правовая безопасность, связанная с проблемами в области законодательного регулирования вопросов защиты информации. Четвёртым компонентом является безопасность оборудования. Она связана с надежностью работы устройств, изучением возможностей несанкционированного перехвата информации и прочими техническими аспектами. Пятый компонент системы – это безопасность программного обеспечения, которая исключает воздействие различных программных вирусов или непредусмотренных действий разработчиков. И наконец, шестой компонент – это безопасность телекоммуникационной среды. Она связана с проблемами распределения вычислительных систем. Здесь могут быть физические повреждения каналов связи, утеря, подмена или неправомочная имитация законного пользователя. Слайд 36 Классификация методов и средств защиты экономической информации Защита информации предполагает организацию комплекса мер, направленных на предотвращение потери информации. Эти меры обеспечиваются за счет применения различных методов и средств защиты. Методы и средства защиты представлены на схеме, изображенной на слайде 36. Итак, охарактеризуем основные методы защиты. Препятствие – это метод физического преграждения пути нарушителю к защищаемым ресурсам системы: к аппаратуре, носителям информации. Управление доступом – это метод защиты информации путём регулирования использования всех ресурсов системы. Он включает такие функции, как идентификация ресурсов системы, установление подлинности объектов или субъектов системы, проверка полномочий в соответствии с установленным регламентом. Данный метод также предполагает разрешение и создание условий работы в соответствии с регламентом, регистрацию обращений к защищаемым ресурсам, реагирование при попытках несанкционированных действий. Маскировка – это метод защиты информации путем ее криптографического закрытия. Регламентация – это метод защиты информации, создающей такие условия автоматизированной обработки, хранения и передачи информации, при которых возможности несанкционированного доступа сводятся к минимуму. Принуждение – это метод защиты информации, при котором пользователи системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации. Это связано с угрозой материальной, административной или уголовной ответственности. Побуждение – это метод защиты информации, мотивирующий пользователей системы соблюдать сложившиеся морально-этические нормы. Можно выделить формальные и неформальные средства защиты экономической информации. К формальным относят программные средства, а также технические средства, как аппаратные, так и физические. Программные средства представляют собой программное обеспечение, которое предназначено для выполнения функций защиты информации. Программные средства защиты включают в себя систему разграничения доступа к вычислительным и информационным ресурсам системы; средства криптографической защиты информации, хранящейся на магнитных носителях автоматизированных рабочих мест. Кроме того, в нее входят средства регистрации и учета попыток несанкционированного доступа, событий в системе, документов, выводимых на печать. А также средства обеспечения и контроля целостности программных файлов, в том числе средства борьбы с программами-вирусами; средства контроля паузы неактивности пользователя системы. Аппаратные технические средства – это устройства, которые встраиваются непосредственно в вычислительную технику либо сопрягаются с ней по стандартному интерфейсу. Выбор аппаратных средств защиты определяется такими техническими характеристиками, как высокая надежность и высокая производительность шифрования информации. Физические технические средства – это автономные устройства и системы, например замки на дверях, где размещена аппаратура. К неформальным относят организационные, законодательные и морально-этические средства. Организационные средства – это организационно-технические и организационно-правовые мероприятия, которые осуществляются в процессе создания и эксплуатации вычислительной техники для обеспечения защиты информации. Они определяют порядок ведения системы защиты от несанкционированного доступа, порядок ограничения доступа в помещения; назначения полномочий по доступу. А также порядок контроля и учета событий, сопровождения программного обеспечения и контроля за системой защиты. Морально-этические средства реализуются в виде различных норм, или традиций, складывающихся по мере распространения вычислительной техники и средств связи в обществе. Законодательные средства определяются законодательными актами, которые регламентируют правила пользования, обработки и передачи информации и устанавливают меры ответственности за их нарушение. Слайд 37 Программные средства защиты информации Как было отмечено выше, программная защита информации – это система специальных программ, которые реализуют функции защиты информации. Выделяют следующие направления использования программ для обеспечения безопасности информации. Это защита информации от несанкционированного доступа, защита информации от копирования, защита информации от вирусов и программная защита каналов связи. Итак, рассмотрим суть защиты информации от несанкционированного доступа. Для защиты от чужого вторжения предусматриваются определенные меры безопасности. Основными функци ями , которые должны осуществляться программными средствами, выступают идентификация субъектов и объектов; разграничение доступа к вычислительным ресурсам и информации; контроль и регистрация действий с информацией. Процедура идентификации и подтверждения подлинности предполагает проверку того, является ли субъект, осуществляющий доступ к информации, тем, за кого себя выдаёт. Наиболее распространенным методом идентификации выступает парольная идентификация. После выполнения процедур идентификации и установления подлинности пользователь получает доступ к вычислительной системе, и защита информации осуществляется на трех уровнях: аппаратуры, программного обеспечения и данных. Следующее направление – это защита от копирования. Средства защиты от копирования предотвращают использование нелегальных копий программного обеспечения и являются в настоящее время единственно надежным средством, которое защищает авторские права. Под средствами защиты от копирования понимаются средства, обеспечивающие выполнение программой своих функций только при опознании некоторого уникального некопируемого элемента. Следующее направление обеспечения защиты – это защита информации от разрушения. Причины разрушения информации довольно разнообразны, это могут быть несанкционированные действия, ошибки программ и оборудования, компьютерные вирусы. Поэтому проведение защитных мероприятий обязательно для всех, кто пользуется компьютером. Необходимо отдельно отметить опасность компьютерных вирусов. Компьютерный вирус – это небольшая, достаточно сложная и опасная программа, которая может самостоятельно размножаться, прикрепляться к чужим программам и передаваться по информационным сетям. Вирус обычно создается для нарушения работы компьютера различными способами – от «безобидной» выдачи какого-либо сообщения до стирания и разрушения файлов. Антивирус – это программа, обнаруживающая и удаляющая вирусы. Программные средства – это объективные формы представления совокупности данных и команд, предназначенных для функционирования компьютеров с целью получения определенного результата. Также это подготовленные и зафиксированные на физическом носителе материалы, полученные в ходе их разработок, и порождаемые ими аудиовизуальные отображения. К программным средствам защиты относятся специальные программы, предназначенные для выполнения функций защиты и включающиеся в состав программного обеспечения систем обработки данных. Данные программы выполняют ряд определенных функций. Это, во-первых, идентификация технических средств, задач и пользователей. Во-вторых, определение прав технических средств, то есть дни и время работы, разрешённые к использованию задачи, и пользователей. В-третьих, контроль работы технических средств и пользователей. Кроме того, выделяются такие функции, как регистрация работы технических средств и пользователей при обработке информации ограниченного использования, уничтожение информации после использования. А также сигнализация при несанкционированных действиях. Существуют также вспомогательные программы различного назначения, например контроля работы механизма защиты, проставления грифа секретности на выдаваемых документах. Слайд 38 Криптографические средства защиты информации Для реализации мер безопасности используются различные механизмы шифрования – криптографии. Криптография – это наука об обеспечении секретности и/или аутентичности, то есть подлинности, передаваемых сообщений. Так, среди самых примитивных методов криптографических средств защиты информации автоматизированной системы можно назвать обмен паролями со всеми присущими ему недостатками. Криптографические средства предназначены для эффективной защиты информации в случае кражи, утери компьютера или магнитного носителя . А также при выполнении ремонтных или сервисных работ посторонними лицами или обслуживающим персоналом, не допущенным к работе с конфиденциальной информацией. Они обеспечивают защиту при передаче информации в виде зашифрованных файлов по незащищенным каналам связи, при использовании компьютера несколькими пользователями. Сущность криптографических методов заключается в том, что сообщение, подготовленное для передачи, зашифровывается, превращаясь в шифрограмму или закрытый текст. Санкционированный пользователь получает сообщение, дешифрует или раскрывает его посредством обратного преобразования криптограммы, тем самым получает исходный открытый текст. Различают симметричное и асимметричное шифрование. Симметричное шифрование основывается на использовании одного и того же секретного ключа как для шифрования, так и для дешифрования. Асимметричное шифрование характеризуется тем, что для шифрования используется один ключ, который является общедоступным. При этом для дешифрования используется другой ключ – секретный. Знание общедоступного ключа не позволяет определить секретный ключ. Современная криптография включает в себя симметричные криптосистемы, криптосистемы с открытым ключом, системы управления ключами и системы электронной подписи. В симметричных криптосистемах используется один и тот же ключ и для шифрования, и для дешифрования. Шифрование с симметричным ключом основано на очень тщательном перемешивании битов, как будто сообщение помещают в некий электронный миксер. В системах с открытым ключом используются два ключа – открытый и закрытый, которые математически связаны друг с другом. Информация шифруется с помощью открытого ключа, который доступен всем пользователям , а расшифровывается с помощью закрытого ключа, известного только получателю сообщения. Шифрование с открытым ключом требует исключительно больших временны х затрат. Термины « распределение ключей » и « управление ключами » относятся к процессам системы обработки информации, содержанием которых является составление и распределение ключей между пользователями. Криптостойкостью называется характеристика шифра, определяющая его стойкость к дешифрованию без знания ключа, то есть к криптоанализу. Показателями криптостойкости выступают количество всех возможных ключей и среднее время, необходимое для криптоанализа. Электронной цифровой подписью называется присоединяемое к тексту его криптографическое преобразование, которое позволяет при получении текста другим пользователем проверить авторство и подлинность сообщения. Подробно понятие электронной цифровой подписи рассмотрим на следующем слайде. Слайд 39 Электронная цифровая подпись Электронная цифровая подпись представляет собой набор байтов, который является результатом работы программы генерации цифровой подписи. Электронная цифровая подпись – это, по сути, аналог физической подписи. Она обладает двумя основными свойствами. Во-первых, воспроизводима только одним лицом, а подлинность ее может быть удостоверена многими. Во-вторых, неразрывно связана с конкретным документом и только с ним. Электронная цифровая подпись предназначена для обеспечения подлинности, целостности и авторства документов, обрабатываемых с помощью вычислительной техники. Электронная цифровая подпись жестко увязывает в одно целое содержание документа и секретный ключ подписывающего и делает невозможным изменение документа без нарушения подлинности этой подписи. Суть процедуры использования электронной цифровой подписи заключается в том, что каждый пользователь программного обеспечения имеет возможность изготовить пару индивидуальных ключей: секретный и открытый. Секретный используется для формирования цифрового аналога подписи под документом и парного с ним. А открытый предназначен для проверки достоверности цифровых подписей, вычисленных с помощью данного секретного ключа. С помощью открытого ключа пользователя можно гарантированно подтверждать подлинность и авторство электронных документов. То есть именно данная последовательность бит была передана и подписана обладателем секретного ключа, соответствующего открытому ключу проверки. Секретный ключ для электронной цифровой подписи может храниться в виде файла на специальных устройствах. Их называют носителями секретного ключа. Юридические основы для использования электронной цифровой подписи прописаны в Федеральном законе «Об электронной подписи». Различают три вида электронных подписей. Это простая электронная подпись, усиленная неквалифицированная электронная подпись и усиленная квалифицированная электронная подпись. Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом. Неквалифицированной электронной подписью является электронная подпись, которая получена в результате криптографического преобразования информации с использованием ключа электронной подписи. Она позволяет определить лицо, подписавшее электронный документ, а также обнаружить факт внесения изменений в электронный документ после момента его подписания. Данная подпись создается с использованием средств электронной подписи. При использовании неквалифицированной электронной подписи сертификат ключа проверки электронной подписи может не создаваться. Это происходит в том случае, если соответствие электронной подписи признакам неквалифицированной электронной подписи может быть обеспечено без использования сертификата ключа проверки электронной подписи. Квалифицированной электронной подписью является электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи и следующим дополнительным признакам. В частности, ключ проверки электронной подписи должен быть указан в квалифицированном сертификате. Для создания и проверки электронной подписи должен использоваться средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом. Слайд 40 Средства идентификации и аутентификации Информационная безопасность невозможна без аутентификации, а проникновение в корпоративную среду мобильных устройств и инновационных технологий не может не влиять на принципы обеспечения информационной безопасности. Рассмотрим понятия идентификации и аутентификации подробнее. Идентификация – это процесс распознавания пользователя по присущему или присвоенному ему идентификационному признаку. Электронные идентификаторы предназначены для хранения уникальных идентификационных признаков, а также для хранения и обработки конфиденциальных данных. Идентификационные признаки представляются в виде цифрового кода, хранящегося в памяти идентификатора. Аутентификация – это процедура подтверждения подлинности субъекта в информационной системе по некоему идентификатору. Надежная и адекватная система аутентификации пользователей – это важный компонент корпоративной системы информационной безопасности. В различных коммуникационных каналах должны применяться и различные механизмы аутентификации, каждый из которых имеет свои достоинства и недостатки, отличается по надежности и стоимости решений, удобству применения и администрирования. При их выборе необходимо анализировать риски и оценивать экономическую целесообразность внедрения. Для аутентификации пользователей применяются разные технологии – от паролей, смарт-карт, токе нов, то есть USB[ю эс би]-ключей, до биометрии, основанной на таких персональных свойствах человека, как отпечаток пальца или структура сетчатки глаза. Средства идентификации и аутентификации представлены на слайде 40. Системы строгой аутентификации проверяют два и более факторов. Лучшей практикой считается двусторонняя строгая аутентификация, основанная на технологии электронной цифровой подписи, о которой было рассказано ранее. Если эту технологию использовать нецелесообразно, то рекомендуется применять одноразовые пароли, а при минимальном уровне рисков – многоразовые. Современные электронные системы идентификации и аутентификации разрабатываются на базе следующих идентификаторов: смарт-карт; радиочастотных, или RFID[эр эф ай ди]-идентификаторов; идентификаторов iButton [ай ба ттон]; USB-ключей, или USB-токе нов. По способу обмена данными между идентификатором и устройством ввода-вывода электронные системы идентификации и аутентификации делятся на контактные и бесконтактные. Контактные идентификаторы подразделяются на идентификаторы iButton , смарт-карты и USB -ключи. Идентификатор iButton представляет собой встроенную в корпус микросхему, питание которой обеспечивает батарейка. Основу чипа составляют мультиплексор и память. Контактные смарт-карты делятся на процессорные карты и карты с памятью. Выпускаются они в виде пластиковых карточек. Основу внутренней структуры современной процессорной смарт-карты составляет чип. USB-ключи предназначаются для работы с USB-портом компьютера. Конструктивно они изготавливаются в виде брелоков, выпускаемых в цветных корпусах и имеющих световые индикаторы работы. Каждый идентификатор имеет прошиваемый при изготовлении уникальный номер. Бесконтактные идентификаторы разделяются на идентификаторы Proximity [проксимити] и смарт-карты. Конструктивно они изготавливаются в виде пластиковых карточек, брелоков, дисков. Основными компонентами являются чип и антенна. Каждый идентификатор имеет уникальный номер. Достоинством радиочастотных идентификаторов, смарт-карт и USB- ключей являются защищенная энергонезависимая память и криптографический процессор, позволяющие повысить уровень защиты. Повышенному интересу к программно-аппаратным решениям, совмещающим в себе удобство использования и усиленную защиту, способствует несколько факторов. Это понимание участниками рынка необходимости внедрения надежных систем аутентификации и цифровой подписи, изменение законодательства в области защиты персональных данных. А также реализация электронных проектов на уровне Правительства и развитие дистанционного банковского обслуживания и интернет-банкинга. Слайд 41 Принципы и этапы создания системы защиты экономической информации Практика разработки систем защиты информации позволила выделить ряд основных принципов защиты информации в автоматизированных системах. Итак, первым принципом выступает комплексность защиты информации. Комплексность механизма защиты информации подразумевает, что надежная защита информации от несанкционированного доступа обеспечивается сочетанием определённых организационных мер. В том числе использованием программных, криптографических и аппаратных средств защиты. Организационные меры играют ведущую роль в системе защиты от несанкционированного доступа. Они являются самостоятельным инструментом защиты. Организационные меры одновременно объединяют абсолютно все средства и методы в целостный механизм защиты информации в системе. Второй принцип – это принцип персональной ответственности. Он заключается в том, что каждый пользователь должен нести персональную ответственность за свою деятельность в системе, включая любые операции с конфиденциальной информацией и возможные нарушения ее защиты. Третий принцип – это минимизация и разделение полномочий по доступу к обрабатываемой информации и процедурам обработки. Согласно данному принципу, каждому сотруднику должен предоставляться наименьший набор полномочий по доступу к обрабатываемой конфиденциальной информации и процедурам ее обработки. В то же время эти полномочия должны быть достаточными для успешного выполнения сотрудниками своих служебных обязанностей. Положение, при котором одно лицо становится ответственным за полную отработку любой деловой операции, недопустимо. Четвёртый принцип – это полнота контроля и регистрации попыток несанкционированного доступа. Этот принцип означает, что данные должны быть защищены на любом технологическом участке в каждый момент времени. Доступ абонентов в систему и их действия должны контролироваться и фиксироваться для проведения возможного расследования. Меры и средства защиты должны исключать возможность совершения неавторизованных операций. Любая операция должна совершаться от имени конкретного пользователя и регистрироваться соответствующим образом до ее завершения. Анализ зарегистрированных попыток нарушения защиты должен служить основой для выработки рекомендаций по совершенствованию системы защиты. Пятый принцип – это несекретность проектирования. Задача сокрытия деталей реализации системы защиты, которая предназначена для эксплуатации в течение продолжительного периода времени, является практически невыполнимой. Поэтому механизм защиты должен быть эффективен даже в том случае, когда его структура и принципы функционирования становятся известными нарушителям. Слайд 42 Принципы и этапы создания системы защиты экономической информации. Окончание Шестой принцип – это равнопрочность механизма защиты. Данный принцип означает, что вероятности получения одинакового ущерба в случае обхода средств защиты или их несанкционированного отключения на различных технологических участках должны быть равны. Принцип равнопрочности механизма защиты подразумевает дифференциацию требований к мерам и средствам защиты в зависимости от величины ущерба, который может быть понесен в случае их обхода или отключения. В частности, критические операции в автоматизированных информационных системах должны проходить дополнительную проверку на правомочность их выполнения. К критическим операциям относят те, ущерб от которых в случае их несанкционированного совершения превышает определенный, заранее зафиксированный уровень. Седьмым принципом выступает контроль над функционированием системы защиты. Данный принцип связан, с одной стороны, с необходимостью создания специальных средств и методов, направленных на предотвращение попыток несанкционированного вмешательства в работу механизмов защиты. С другой стороны, он связан с необходимостью разработки мероприятий по проверке работоспособности и корректности этого механизма. Мероприятия по контролю над функционированием системы защиты могут быть достаточно эффективными только тогда, когда система защиты имеет достаточно простую логическую структуру. При этом для каждого ее компонента можно доказать, в том числе и качественно, функциональную пригодность и корректность функционирования, в смысле объявленных функций и спецификаций. Восьмой принцип – это экономичность механизма защиты. Данный принцип заключается в том, что стоимость разработки и эксплуатации мер и средств защиты не должна превышать величины возможного ущерба. Здесь речь идёт о создании и эксплуатации автоматизированных информационных систем без соответствующих мер и средств защиты. Девятый принцип – это документированность системы защиты. Данный принцип означает, что атрибуты безопасности должны включаться во все документы по системе, касающиеся ее программных и аппаратных средств, их проектирования, приобретения, эксплуатации и обслуживания. Создавая систему защиты информации, необходимо определить ее ориентировочную стоимость и дать разностороннюю оценку предполагаемых методов и средств защиты. Процесс создания системы защиты информации состоит из нескольких этапов. Первый этап – это инженерно-техническое обследование и описание информационных ресурсов системы. Второй этап – определение наиболее критичных, уязвимых мест системы. На третьем этапе проводится вероятностная оценка угроз безопасности информационным ресурсам. Четвертый этап – это экономическая оценка возможного ущерба. Пятый этап заключается в ценовом анализе возможных методов и средств защиты информации. И на шестом этапе определяется рентабельность применения системы защиты информации. Слайд 43 Практика управления информационной безопасностью Далее обратимся к практике управления информационной безопасностью. Для этого рассмотрим различные методы успешного управления информационной безопасностью и предложим набор решений, которые позволят построить эффективную систему управления информационной безопасностью. Вместе с тем следует отметить, что эти решения являются всего лишь одним из аспектов стратегии управления информационными технологиями организации. Практически невозможно успешно управлять информационной безопасностью при неудовлетворительном менеджменте информационных технологий. Деятельность финансовых организаций прежде всего нацелена на получение как можно большей прибыли. Поэтому информационная безопасность должна быть направлена на предоставление безопасных, эффективных и заслуживающих доверия продуктов и услуг клиентам и бизнес-партнерам. А также на предотвращение мошенничества и разглашения конфиденциальной информации. Кроме того, она должна обеспечивать соответствие законам и регулирующим актам. Несмотря на разные операции, продукты и услуги, практика показывает, что компании в большинстве своём используют пять принципов управления рисками информационной безопасности. Первый принцип – оценить риск и определить потребности. Второй – установить централизованное управление. Третий – внедрить необходимые политики и соответствующие средства контроля. Четвертый принцип – содействовать осведомленности сотрудников. И пятый принцип – контролировать и оценивать эффективность политик и механизмов контроля. Существенным фактором эффективного осуществления этих принципов является связующий цикл деятельности, который гарантирует, что управление информационной безопасностью постоянно нацелено на текущие риски. Важно, чтобы высший менеджмент организации признал наличие рисков нарушения бизнес-процессов, связанных с безопасностью информационных систем. Основанием для разработки и внедрения политик и выбора необходимых средств контроля является оценка рисков отдельных бизнес-приложений. Принятые шаги позволят увеличить осведомленность пользователей о рисках и соответствующих политиках. Эффективность средств контроля подлежит оценке путем различных исследований и аудиторских проверок. Полученные результаты обеспечивают подход к последующей оценке рисков и определяют необходимые изменения в политиках и средствах контроля. Все эти действия централизованно координируются службой безопасности или штатом специалистов, состоящим из консультантов, представителей бизнес-подразделений и менеджмента организации. Цикл управления рисками наглядно проиллюстрирован на слайде 43. Слайд 44 Методы реализации программы информационной безопасности На основе выявленных пяти принципов управления рисками информационной безопасности рассмотрим методы реализации программы информационной безопасности. Эти методы являются ключевыми для эффективной реализации программы информационной безопасности организации. Их шестнадцать. Итак, в первую очередь необходимо оценить риск и определить потребности. Оценка риска является первым шагом реализации программы обеспечения информационной безопасности. Безопасность рассматривается как набор политик и соответствующих средств контроля, предназначенных для обеспечения бизнес-процессов и уменьшения соответствующих рисков. Рассмотрим методы реализации программы информационной безопасности, позволяющие реализовать первый принцип управления рисками, а именно оценить риск и определить потребности. Их четыре. Первый метод – это необходимость признать информационные ресурсы в качестве существенных активов организации. Признание менеджментом организации рисков информационной безопасности, а также набора мер, направленных на определение и управление этими рисками, является важным фактором развития программы обеспечения информационной безопасности. Такой подход позволяет гарантировать, что информационная безопасность серьезно рассматривается и на более низких уровнях организации, а специалисты обеспечены ресурсами, необходимыми для эффективного осуществления программы. Второй метод предусматривает необходимость разработать практические процедуры оценки рисков, связывающие безопасность и требования бизнеса. Существуют различные методологии оценки риска, начиная от неформального обсуждения риска и заканчивая достаточно сложными методами, предусматривающими использование особых программных средств. Однако мировой опыт успешных процедур управления рисками описывает относительно простой процесс. Он предусматривает участие различных подразделений организаций с привлечением специалистов со знаниями бизнес-процессов, технических специалистов и специалистов в области защиты информации. Стоит подчеркнуть, что понимание рисков не предусматривает их точного количественного определения, включая вероятность инцидента или стоимость ущерба. Такие данные недоступны, так как потери могут быть не обнаружены, а менеджмент не поставлен в известность. Кроме того, данные о полных затратах на устранение ущерба, вызванного слабыми механизмами контроля безопасности, а также об операционной стоимости этих механизмов, то есть механизмов контроля, ограничены. Из-за постоянных изменений технологий, а также программных средств и инструментов, доступных злоумышленникам, применение статистических данных, собранных в предыдущие годы, сомнительно. В результате трудно, если это вообще возможно, точно сравнить стоимость средств контроля с риском потери, чтобы определить, какое средство контроля является наиболее рентабельным. В любом случае менеджеры бизнес-подразделений и специалисты в области информационной безопасности должны полагаться на наиболее полную информацию, доступную им при принятии решения о выборе необходимых средств или методов контроля. Третий метод реализации программы информационной безопасности связан с необходимостью установить ответственность менеджеров бизнес- подразделений и менеджеров, участвующих в программе обеспечения безопасности. Так, менеджеры бизнес-подразделения должны нести первичную ответственность за определение уровня безопасности, или конфиденциальности, информационных ресурсов, обеспечивающих бизнес- процессы. Именно менеджеры бизнес-подразделений в наибольшей степени способны определить, какой из информационных ресурсов является наиболее критичным. Также они способны определить возможное влияние на бизнес в случае нарушения его целостности, конфиденциальности или доступности. Кроме того, менеджеры бизнес-подразделений могут указать на средства и механизмы контроля, способные нанести вред бизнес-процессам. Таким образом, привлекая их к выбору средств контроля, можно гарантировать, что средства контроля удовлетворяют необходимым требованиям и будут успешно внедрены. Четвёртый метод говорит о необходимости непрерывно управлять рисками. Информационной безопасности стоит уделять постоянное внимание, чтобы гарантировать адекватность и эффективность средств контроля. Как было отмечено ранее, современные информационные и смежные технологии, так же как и факторы, относящиеся к информационной безопасности, постоянно изменяются. Такие факторы включают в себя угрозы, технологии и системные конфигурации, известные уязвимости в программном обеспечении, уровень надежности автоматизированных систем и электронных данных, критичность данных и операций. Слайд 45 Методы реализации программы информационной безопасности. Продолжение Далее рассмотрим методы реализации программы информационной безопасности, позволяющие реализовать второй принцип управления рисками, а именно установить централизованное управление. Их тоже четыре. Руководящая группа выступает прежде всего в роли советника или консультанта бизнес-подразделений и не может навязывать методы или средства информационной безопасности. Итак, первый метод – это выбор руководящей группы для выполнения ключевых действий. В целом, руководящая группа должна являться, во-первых, катализатором, или ускорителем, процесса, гарантирующим, что риски информационной безопасности рассматриваются непрерывно. Во-вторых, она должна быть центральным консультационным ресурсом для подразделений организаций. В-третьих, выступать средством доведения до руководства организации информации о состоянии информационной безопасности и принимаемых мерах. Кроме того, руководящая группа позволяет централизованно управлять поставленными задачами, в противном случае эти задачи могут дублироваться различными подразделениями организации. Второй метод – это предоставление руководящей группе простого и независимого доступа к высшему менеджменту организации. Отметим необходимость обсуждения проблем информационной безопасности менеджерами руководящей группы с высшим менеджментом организации. Такой диалог позволит действовать эффективно и избежать разногласий. В противном случае возможны конфликтные ситуации с менеджерами бизнес-подразделений и разработчиками систем, желающими скорейшего внедрения новых программных продуктов. Они оспаривают применение средств контроля, которые могут препятствовать эффективности и «комфортности» работы с программным обеспечением. Таким образом, возможность обсуждения проблем информационной безопасности на высшем уровне сможет гарантировать полное понимание рисков и их допустимость до принятия окончательных решений. Третий метод – это определение и выделение бюджета и персонала. Бюджет позволит планировать и устанавливать цели программы информационной безопасности. Как минимум, бюджет включает заработную плату сотрудников и затраты на обучение. Штатная численность руководящей группы, то есть подразделения безопасности, может варьироваться и зависеть как от поставленных целей, так и от проектов, находящихся на рассмотрении. Как было отмечено ранее, к работе в группе могут привлекаться как технические специалисты, так и сотрудники бизнес- подразделений. Четвёртый метод – это повышение профессионализма и технических знаний сотрудников. Так, сотрудники организации должны участвовать в различных аспектах программы информационной безопасности и обладать соответствующими навыками и знаниями. Необходимый уровень профессионализма сотрудников может быть достигнут с помощью тренингов, проводить которые могут как специалисты организации, так и внешние консультанты. Слайд 46 Методы реализации программы информационной безопасности. Продолжение Следующая группа методов реализации программы информационной безопасности позволяет реализовать третий принцип управления рисками, а именно внедрить необходимые политики и соответствующие средства контроля. Их всего три. Политики в области информационной безопасности являются основанием принятия определенных процедур и выбора механизмов контроля или управления. Политика – это первичный механизм, с помощью которого менеджмент доводит свое мнение и требования до сотрудников, клиентов и деловых партнеров. Для информационной безопасности, как и для других областей внутреннего контроля, требования политик напрямую зависят от результатов оценки уровня риска. Итак, первый метод – это установление взаимосвязи политик и бизнес- рисков. Всесторонний набор адекватных политик, доступных и понятных пользователям, является одним из первых шагов в установлении программы обеспечения информационной безопасности. Стоит подчеркнуть важность непрерывного сопровождения и корректировки политик для своевременного реагирования на выявляемые риски и возможные разногласия. Второй метод заключается в установлении отличий между политиками и руководящими принципами. Общий подход к созданию политик информационной безопасности должен предусматривать краткие политики высокого уровня и более детальную информацию, представленную в практических руководствах и стандартах. Политики предусматривают основные и обязательные требования, принятые высшим менеджментом, в то время как практические руководства не являются обязательными для всех бизнес-подразделений. Такой подход позволяет высшему менеджменту акцентировать внимание на наиболее важных элементах информационной безопасности. Он также позволяет предоставить возможность маневрирования менеджерам бизнес- подразделений, сделать политики легкими для понимания сотрудников. Третий метод – состоит в обеспе чении сопровождения политик руководящей группой. Руководящая группа должна быть ответственна за разработку политик информационной безопасности организации во взаимодействии с менеджерами бизнес-подразделений, внутренними аудиторами и юристами. Кроме того, руководящая группа должна обеспечить необходимые разъяснения и предоставить ответы на вопросы пользователей. Это поможет уладить и предотвратить недоразумения, а также принять необходимые меры, не предусмотренные политиками, то есть руководящими принципами. Политики должны быть доступными, чтобы пользователи при необходимости могли получить доступ к их актуальным версиям. Пользователи должны расписываться в том, что они ознакомлены с политиками до предоставления им доступа к информационным ресурсам организации. Если пользователь будет вовлечен в инцидент безопасности, это соглашение послужит свидетельством того, что он был проинформирован как о политике организации, так и о возможных санкциях в случае ее нарушения. Слайд 47 Методы реализации программы информационной безопасности. Продолжение Следующие два метода реализации программы информационной безопасности позволяют реализовать четвертый принцип управления рисками, а именно содействовать осведомленности. Компетентность пользователей является обязательным условием для успешного обеспечения информационной безопасности, а также позволяет гарантировать, что средства контроля работают должным образом. Пользователи не могут следовать политике, которую они не знают или не понимают. Не зная о рисках, связанных с информационными ресурсами организации, они не могут видеть необходимости исполнения политики, разработанной с целью уменьшения рисков. Первый метод – это непрерывное обучение пользователей и других сотрудников на примере рисков и соответствующих политик. Руководящая группа должна обеспечить стратегию постоянного обучения сотрудников, так или иначе влияющих на информационную безопасность организации. Группа должна сосредоточить усилия на всеобщем понимании рисков, связанных с информацией, обрабатываемой в организации, а также на политиках и методах или средствах контроля, направленных на уменьшение этих рисков. Второй метод – это использование дружественного подхода. Руководящая группа должна использовать разнообразные методы обучения и поощрения, чтобы сделать политику организации доступной и обучить пользователей. А также наиболее эффективно проводить обучение сотрудников небольшими группами, избегая обучения одновременно со всеми сотрудниками организации раз в год. Слайд 48 Методы реализации программы информационной безопасности. Окончание Последние три метода реализации программы информационной безопасности позволяют реализовать пятый принцип управления рисками, а именно контролировать и оценивать эффективность политик и механизмов контроля. Как и любой вид деятельности, информационная безопасность подлежит контролю и периодической переоценке, чтобы гарантировать адекватность или соответствие политик и средств или методов контроля поставленным целям. Первый метод – это контроль факторов, влияющих на риски и указывающих на эффективность информационной безопасности. Контроль должен быть сосредоточен, во-первых, на наличии средств и методов контроля и их использования, направленного на уменьшение рисков. Во-вторых, на оценке эффективности программы и политик информационной безопасности, улучшающих понимание пользователей и сокращающих количество инцидентов. Такие проверки предусматривают тестирование средств или методов контроля, оценку их соответствия политикам организации, анализ инцидентов безопасности, а также другие индикаторы эффективности программы информационной безопасности. Эффективность работы руководящей группы может быть оценена, основываясь на таких показателях, как число проведенных тренингов и встреч, число выполненных оценок рисков, число сертифицированных специалистов, отсутствие инцидентов, затрудняющих работу сотрудников организации. Учитываются и другие показатели. Например, снижение числа проектов, внедренных с задержкой из-за проблем информационной безопасности; полное соответствие или согласованные и зарегистрированные отклонения от минимальных требований информационной безопасности; снижение числа инцидентов, влекущих за собой несанкционированный доступ, потерю или искажение информации.Второй метод – это использование полученных результатов для координации будущих усилий и повышения ответственности менеджмента. Контроль, безусловно, позволяет привести организацию в соответствие принятым политикам информационной безопасности. Однако полные выгоды от контроля не будут достигнуты, если полученные результаты не используются для улучшения программы обеспечения информационной безопасности. Анализ результатов контроля предоставляет специалистам в области информационной безопасности и менеджерам бизнес-подразделений средства переоценки ранее идентифицированных рисков, определения новых проблемных участков. А также средства переоценки достаточности и уместности существующих средств и методов контроля или управления и действий по обеспечению информационной безопасности. Кроме того, предоставляются средства определения потребностей в новых средствах и механизмах контроля, переадресации контрольных усилий, контролирующих действий. Результаты могут использоваться и для оценки деятельности бизнес- менеджеров, ответственных за понимание и уменьшение рисков в бизнес- подразделениях. И последний метод заключается в отслеживании новых методов и средств контроля. Важно гарантировать, что специалисты в области информационной безопасности не отстают от разрабатываемых методов и инструментов или приложений, что они располагают самой последней информацией об уязвимости информационных систем и приложений. А высший менеджмент гарантирует, что располагает для этого необходимыми ресурсами. Слайд 49 Построение эффективной системы информационной безопасности Развитие программы информационной безопасности, соответствующей основным принципам, описанным выше, – это первый и основной шаг организации на пути построения эффективной системы информационной безопасности. Сегодня многие российские компании решают задачи создания системы информационной безопасности. То есть той, которая соответствовала бы лучшим практикам и стандартам в этой области. Эта система должна отвечать современным требованиям защиты информации по параметрам конфиденциальности, целостности и доступности. Этот вопрос важен не только для молодых компаний, развивающих свой бизнес с использованием современных информационных технологий управления. Эта проблема является важной и для предприятий и организаций, которые давно работают на рынке и приходят к необходимости модернизировать существующую у них систему информационной безопасности. Необходимость повышения эффективности системы информационной безопасности связана с обострением проблем защиты информации. Вместе с тем в большинстве российских компаний организационная составляющая системы информационной безопасности проработана слабо. Например, данные как таковые зачастую не классифицированы, что влечет за собой целый ряд проблем. Некоторые проблемы связаны со сложностью в обосновании адекватности мероприятий по защите информации, с невозможностью при возникновении инцидента использовать правовые методы их расследования. Еще одна важная проблема в области защиты данных связана с обеспечением непрерывности функционирования информационных систем. Для многих современных компаний бесперебойная работа информационных систем, поддерживающих основной бизнес, и доступность данных становятся ключевым вопросом. Сбои в работе систем ведут к прерыванию бизнес-процессов и соответственно к недовольству клиентов, штрафам и другим потерям. А в обеспечении доступности данных немаловажную роль играют системы защиты, предотвращающие злонамеренные атаки на информационную систему. В большинстве крупных компаний имеет место унаследованная «лоскутная» автоматизация. Развитие корпоративной информационной системы осуществляется довольно хаотично. Немногие компании опираются на продуманную стратегию или планы развития информационных систем. Обычно новые сервисы добавляются без привязки к уже существующим и без учета их взаимосвязи. Система информационной безопасности редко бывает обоснована экономически. В связи с этим компаниям следует учесть, что построение эффективной системы информационной безопасности должно опираться на анализ рисков. В том числе на анализ возможного ущерба, который является основой при выборе технических подсистем и их экономическом обосновании. Также важен комплекс организационных мер и создание системы управления информационными рисками. И, наконец, соблюдение выверенных принципов построения системы информационной безопасности. Таким образом, организация должна: - во-первых, непрерывно исследовать и оценивать риски информационной безопасности, влияющие на бизнес-процессы; - во-вторых, установить централизованное управление информационной безопасностью; - в-третьих, установить политики, стандарты и средства или механизмы контроля и управления, направленные на уменьшение этих рисков. Также организация должна содействовать осведомленности и пониманию описанной проблемы среди сотрудников и оценивать соответствие и повышать эффективность системы информационной безопасности. Слайд 50 |